Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# NIST SP 800-171 Revisione 2 nel Security Hub CSPM
<a name="standards-reference-nist-800-171"></a>

La pubblicazione speciale NIST 800-171 Revision 2 (NIST SP 800-171 Rev. 2) è un framework di sicurezza e conformità informatica sviluppato dal National Institute of Standards and Technology (NIST), un'agenzia che fa parte del Dipartimento del Commercio degli Stati Uniti. Questo framework di conformità fornisce i requisiti di sicurezza consigliati per proteggere la riservatezza delle informazioni controllate non classificate in sistemi e organizzazioni che non fanno parte del governo federale degli Stati Uniti. *Le informazioni non classificate controllate*, note anche come *CUI*, sono informazioni sensibili che non soddisfano i criteri di classificazione governativi ma devono essere protette. Si tratta di informazioni considerate sensibili e create o possedute dal governo federale degli Stati Uniti o da altre entità per conto del governo federale degli Stati Uniti.

NIST SP 800-171 Rev. 2 fornisce i requisiti di sicurezza consigliati per proteggere la riservatezza del CUI quando:
+ Le informazioni risiedono in sistemi e organizzazioni non federali,
+ L'organizzazione non federale non raccoglie o conserva informazioni per conto di un'agenzia federale né utilizza o gestisce un sistema per conto di un'agenzia, e 
+ Non esistono requisiti di salvaguardia specifici per proteggere la riservatezza del CUI prescritti dalla legge, dai regolamenti o dalla politica governativa che autorizza la categoria CUI elencata nel registro CUI. 

I requisiti si applicano a tutti i componenti dei sistemi e delle organizzazioni non federali che elaborano, archiviano o trasmettono i CUI o forniscono protezione di sicurezza per i componenti. Per ulteriori informazioni, vedere [NIST SP 800-171 Rev. 2 nel *NIST* Computer Security Resource Center.](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final)

AWS Security Hub CSPM fornisce controlli di sicurezza che supportano un sottoinsieme dei requisiti NIST SP 800-171 Revisione 2. I controlli eseguono controlli di sicurezza automatici per determinate risorse. Servizi AWS Per abilitare e gestire questi controlli, è possibile abilitare il framework NIST SP 800-171 Revision 2 come standard in Security Hub CSPM. Tieni presente che i controlli non supportano i requisiti NIST SP 800-171 Revisione 2 che richiedono controlli manuali.

**Topics**
+ [Configurazione della registrazione delle risorse per lo standard](#standards-reference-nist-800-171-recording)
+ [Determinare quali controlli si applicano allo standard](#standards-reference-nist-800-171-controls)

## Configurazione della registrazione delle risorse per i controlli che si applicano allo standard
<a name="standards-reference-nist-800-171-recording"></a>

Per ottimizzare la copertura e l'accuratezza dei risultati, è importante abilitare e configurare la registrazione delle risorse AWS Config prima di abilitare lo standard NIST SP 800-171 Revision 2 in Security Hub AWS CSPM. Quando configuri la registrazione delle risorse, assicurati anche di abilitarla per tutti i tipi di AWS risorse controllate dai controlli che si applicano allo standard. In caso contrario, Security Hub CSPM potrebbe non essere in grado di valutare le risorse appropriate e generare risultati accurati per i controlli che si applicano allo standard.

Per informazioni su come Security Hub CSPM utilizza la registrazione delle risorse AWS Config, vedere. [Abilitazione e configurazione AWS Config per Security Hub CSPM](securityhub-setup-prereqs.md) *Per informazioni sulla configurazione della registrazione delle risorse in AWS Config, vedere [Lavorare con il registratore di configurazione](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) nella Guida per gli sviluppatori.AWS Config *

La tabella seguente specifica i tipi di risorse da registrare per i controlli che si applicano allo standard NIST SP 800-171 Revision 2 in Security Hub CSPM.


| Servizio AWS | Tipi di risorse | 
| --- | --- | 
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` | 
| Gateway Amazon API | `AWS::ApiGateway::Stage` | 
| Amazon CloudFront | `AWS::CloudFront::Distribution` | 
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Servizio di storage semplice Amazon (Amazon S3) | `AWS::S3::Bucket` | 
| Servizio di notifica semplice di Amazon (Amazon SNS) | `AWS::SNS::Topic` | 
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` | 
| AWS WAF | `AWS::WAFv2::RuleGroup` | 

## Determinare quali controlli si applicano allo standard
<a name="standards-reference-nist-800-171-controls"></a>

L'elenco seguente specifica i controlli che supportano i requisiti NIST SP 800-171 Revisione 2 e si applicano allo standard NIST SP 800-171 Revisione 2 in Security Hub CSPM. AWS Per informazioni dettagliate sui requisiti specifici supportati da un controllo, scegli il controllo. Quindi, fai riferimento al campo **Requisiti correlati** nei dettagli del controllo. Questo campo specifica ogni requisito NIST supportato dal controllo. Se il campo non specifica un particolare requisito NIST, il controllo non supporta il requisito.
+ [[ACM.1] I certificati importati ed emessi da ACM devono essere rinnovati dopo un periodo di tempo specificato](acm-controls.md#acm-1)
+ [[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] le CloudFront distribuzioni devono utilizzare certificati personalizzati SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront le distribuzioni non devono utilizzare protocolli SSL obsoleti tra edge location e origini personalizzate](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail dovrebbe avere la crittografia a riposo abilitata](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] Almeno un trail deve essere abilitato CloudTrail](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] la convalida dei file di CloudTrail registro dovrebbe essere abilitata](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] Dovrebbero esistere un filtro logmetrico e un allarme per l'utilizzo da parte dell'utente «root»](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Assicurati che esistano un filtro metrico di log e un allarme per le chiamate API non autorizzate](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Assicurati che esistano un filtro metrico di log e un allarme per le CloudTrail modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Assicurati che esistano un filtro metrico di registro e un allarme per gli Console di gestione AWS errori di autenticazione](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Assicurati che esistano un filtro metrico di registro e un allarme per la disabilitazione o l'eliminazione pianificata delle chiavi gestite dal cliente](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alle policy dei bucket S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Assicurati che esistano un filtro metrico di log e un allarme per le AWS Config modifiche alla configurazione](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche ai gruppi di sicurezza](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Assicurati che esistano un filtro metrico di registro e un allarme per le modifiche alle liste di controllo degli accessi alla rete (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche ai gateway di rete](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche alla tabella delle rotte](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Assicurati che esistano un filtro metrico di log e un allarme per le modifiche al VPC](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] gli CloudWatch allarmi devono avere azioni specificate configurate](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] La registrazione del flusso VPC deve essere abilitata in tutti i casi VPCs](ec2-controls.md#ec2-6)
+ [[EC2.10] Amazon EC2 deve essere configurato per utilizzare endpoint VPC creati per il servizio Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.13] I gruppi di sicurezza non devono consentire l'ingresso da 0.0.0.0/0 o: :/0 alla porta 22](ec2-controls.md#ec2-13)
+ [[EC2.16] Le liste di controllo degli accessi alla rete non utilizzate devono essere rimosse](ec2-controls.md#ec2-16)
+ [[EC2.18] I gruppi di sicurezza devono consentire il traffico in entrata senza restrizioni solo per le porte autorizzate](ec2-controls.md#ec2-18)
+ [[EC2.19] I gruppi di sicurezza non devono consentire l'accesso illimitato alle porte ad alto rischio](ec2-controls.md#ec2-19)
+ [[EC2.20] Entrambi i tunnel VPN per una connessione AWS Site-to-Site VPN devono essere attivi](ec2-controls.md#ec2-20)
+ [[EC2.21] La rete non ACLs dovrebbe consentire l'ingresso dalla porta 0.0.0.0/0 alla porta 22 o alla porta 3389](ec2-controls.md#ec2-21)
+ [[EC2.51] Gli endpoint EC2 Client VPN devono avere la registrazione delle connessioni client abilitata](ec2-controls.md#ec2-51)
+ [[ELB.2] I sistemi Classic Load Balancer con SSL/HTTPS listener devono utilizzare un certificato fornito da AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] I listener Classic Load Balancer devono essere configurati con terminazione HTTPS o TLS](elb-controls.md#elb-3)
+ [[ELB.8] I Classic Load Balancer con listener SSL devono utilizzare una politica di sicurezza predefinita con una durata elevata AWS Config](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty dovrebbe essere abilitato](guardduty-controls.md#guardduty-1)
+ [[IAM.1] Le politiche IAM non dovrebbero consentire privilegi amministrativi «\*» completi](iam-controls.md#iam-1)
+ [[IAM.2] Gli utenti IAM non devono avere policy IAM allegate](iam-controls.md#iam-2)
+ [[IAM.7] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-7)
+ [[IAM.8] Le credenziali utente IAM non utilizzate devono essere rimosse](iam-controls.md#iam-8)
+ [[IAM.10] Le policy relative alle password per gli utenti IAM devono avere configurazioni solide](iam-controls.md#iam-10)
+ [[IAM.11] Assicurati che la politica delle password IAM richieda almeno una lettera maiuscola](iam-controls.md#iam-11)
+ [[IAM.12] Assicurati che la politica delle password IAM richieda almeno una lettera minuscola](iam-controls.md#iam-12)
+ [[IAM.13] Assicurati che la politica delle password IAM richieda almeno un simbolo](iam-controls.md#iam-13)
+ [[IAM.14] Assicurati che la politica delle password IAM richieda almeno un numero](iam-controls.md#iam-14)
+ [[IAM.15] Assicurati che la politica delle password di IAM richieda una lunghezza minima della password pari o superiore a 14](iam-controls.md#iam-15)
+ [[IAM.16] Assicurati che la politica delle password di IAM impedisca il riutilizzo delle password](iam-controls.md#iam-16)
+ [[IAM.18] Assicurati che sia stato creato un ruolo di supporto per gestire gli incidenti con Supporto AWS](iam-controls.md#iam-18)
+ [[IAM.19] L'MFA deve essere abilitata per tutti gli utenti IAM](iam-controls.md#iam-19)
+ [[IAM.21] Le policy gestite dai clienti IAM che create non dovrebbero consentire azioni jolly per i servizi](iam-controls.md#iam-21)
+ [[IAM.22] Le credenziali utente IAM non utilizzate per 45 giorni devono essere rimosse](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] I bucket S3 per uso generico devono richiedere l'utilizzo di SSL](s3-controls.md#s3-5)
+ [[S3.6] Le policy generiche relative ai bucket di S3 dovrebbero limitare l'accesso ad altri Account AWS](s3-controls.md#s3-6)
+ [[S3.9] I bucket generici S3 devono avere la registrazione degli accessi al server abilitata](s3-controls.md#s3-9)
+ [[S3.11] I bucket generici S3 devono avere le notifiche degli eventi abilitate](s3-controls.md#s3-11)
+ [[S3.14] I bucket generici S3 devono avere il controllo delle versioni abilitato](s3-controls.md#s3-14)
+ [[S3.17] I bucket generici S3 devono essere crittografati quando sono inattivi con AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] Gli argomenti SNS devono essere crittografati quando sono inattivi utilizzando AWS KMS](sns-controls.md#sns-1)
+ [[SSM.2] Le istanze Amazon EC2 gestite da Systems Manager devono avere uno stato di conformità delle patch pari a CONFORME dopo l'installazione della patch](ssm-controls.md#ssm-2)
+ [Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch](waf-controls.md#waf-12)